Studio Classic sourceIdentity の CloudTrail ログで SageMaker を有効にする - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Studio Classic sourceIdentity の CloudTrail ログで SageMaker を有効にする

Amazon SageMaker Studio Classic では、ユーザーリソースへのアクセスをモニタリングできます。ただし、リソースアクセスの AWS CloudTrail ログには、Studio Classic 実行IAMロールが識別子として一覧表示されます。単一の実行IAMロールが複数のユーザープロファイル間で共有される場合、 sourceIdentity設定を使用して、 AWS リソースにアクセスした特定のユーザーに関する情報を取得する必要があります。

以下のトピックでは、sourceIdentity設定をオンまたはオフにする方法について説明します。

前提条件

  • の最新バージョンをインストールまたは更新する AWS Command Line Interface 手順をインストールして設定します。 AWS CLI

  • ドメイン内の Studio Classic ユーザーには、ドメインの更新または変更を許可するポリシーがないことを確認します。 

  • sourceIdentity 伝達の開始または停止をするには、ドメイン内のすべてのアプリが Stopped または Deleted 状態である必要があります。アプリを停止およびシャットダウンする方法の詳細については、「Studio Classic Apps のシャットダウンと更新」を参照してください。

  • ソース ID の伝播が有効になっている場合、すべての実行ロールに次の信頼ポリシーアクセス許可が必要です。 

    • ドメインの実行ロールが引き受けるすべてのロールには、sts:SetSourceIdentity信頼ポリシーの アクセス許可が必要です。このアクセス許可がない場合、 AccessDeniedExceptionまたはジョブ作成 を呼びValidationError出すと、アクションは失敗しますAPI。次の信頼ポリシーの例には、 sts:SetSourceIdentity アクセス許可が含まれています。

      {     "Version": "2012-10-17",     "Statement": [         {             "Effect": "Allow",             "Principal": {                 "Service": "sagemaker.amazonaws.com"             },             "Action": [                 "sts:AssumeRole",                 "sts:SetSourceIdentity"             ]         }     ] }
    • ロールチェーンと呼ばれる別のロールを持つロールを引き受ける場合は、次の操作を行います。

      • sts:SetSourceIdentity の権限は、ロールを引き受けるプリンシパルのアクセス許可ポリシーと、ターゲットロールのロール信頼ポリシーの両方で必要です。そうしない場合、ロールの引き受け操作は失敗します。

      • このロールの連鎖は、Studio Classic または Amazon などの他のダウンストリームサービスで行うことができますEMR。ロールチェーンに関する詳細については、「ロールに関する用語と概念」を参照してください。

sourceIdentity をオンにする

Studio Classic sourceIdentityの としてユーザープロファイル名を伝達する機能は、デフォルトでオフになっています。

ユーザープロファイル名を として伝達できるようにするにはsourceIdentity、ドメインの作成時とドメインの更新 AWS CLI 時に を使用します。この機能はドメインレベルで有効になり、ユーザープロファイルレベルでは有効になりません。

この構成を有効にすると、管理者はアクセスされたサービスの AWS CloudTrail ログでユーザープロファイルを確認できるようになります。ユーザープロファイルは userIdentity セクションの sourceIdentity 値として表示されます。での AWS CloudTrail ログの使用の詳細については SageMaker、「 での Amazon SageMaker API コールのログ AWS CloudTrail」を参照してください。

次のコードを使用して、 を使用してcreate-domainドメイン作成sourceIdentity時にユーザープロファイル名を として伝達できますAPI。

create-domain --domain-name <value> --auth-mode <value> --default-user-settings <value> --subnet-ids <value> --vpc-id <value> [--tags <value>] [--app-network-access-type <value>] [--home-efs-file-system-kms-key-id <value>] [--kms-key-id <value>] [--app-security-group-management <value>] [--domain-settings "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]

を使用して、ドメインの更新sourceIdentity中にユーザープロファイル名の伝達を として有効にできますupdate-domainAPI。

この構成を更新するには、ドメイン内のすべてのアプリが Stopped または Deleted 状態である必要があります。アプリを停止およびシャットダウンする方法の詳細については、「Studio Classic Apps のシャットダウンと更新」を参照してください。

次のコードを使用すると、sourceIdentity としてユーザープロファイル名を伝達できるようになります。

update-domain --domain-id <value> [--default-user-settings <value>] [--domain-settings-for-update "ExecutionRoleIdentityConfig=USER_PROFILE_NAME"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]

sourceIdentity を無効にする

AWS CLIを使用して、sourceIdentity としてのユーザープロファイル名の伝達を無効にすることもできます。これは、update-domainAPI呼び出しの一部として ExecutionRoleIdentityConfig=DISABLEDパラメータの--domain-settings-for-update値を渡すことで、ドメインの更新中に発生します。

で AWS CLI、次のコードを使用して、ユーザープロファイル名の としての伝達を無効にしますsourceIdentity

update-domain --domain-id <value> [--default-user-settings <value>] [--domain-settings-for-update "ExecutionRoleIdentityConfig=DISABLED"] [--cli-input-json <value>] [--generate-cli-skeleton <value>]